Как проверить, что защита вашей ИТ-системы эффективна и достаточна
Среди популярных методов, которые можно использовать для проверки, эксперты называют стресс-тест или киберразведку. В чем между ними разница, разберем в материале.
Стресс-тест
Как правило, говоря «стресс-тест», подразумевают совокупность методов оценки безопасности компьютерных систем или сетей. Стресс-тестирование — более широкое понятие, чем пентест, и включает в себя и тестирование на проникновение, как один из методов оценки безопасности информационной системы путем моделирования атаки злоумышленников.
Сценарии стресс-теста могут быть очень разными: атаки на отказ в обслуживании, социальная инженерия, тестирование на проникновение — словом, что угодно в зависимости от пожеланий заказчика.
Главная задача этих тестов — выявить проблемы, на которые вы по каким-то причинам не обратили внимания либо уделили недостаточное количество времени. Информация, получаемая исполнителями в ходе работы, как правило, бывает довольно чувствительной для бизнеса, и сразу возникает вопрос доверия. Фактически при проведении таких работ вы даете сторонней организации карт-бланш на взлом своей инфраструктуры.
Разумеется, весь процесс заблаговременно согласован и задокументирован, а в случае возникновения проблем все незаконные действия по передаче информации о найденных уязвимостях третьим лицам будут иметь последствия для нарушителей, однако, соизмеряя риски, компании часто отказываются от стресс-тестов. В таких случаях, когда вопрос доверия подрядчикам не решен однозначно, можно остановиться на услуге под названием «киберразведка».